Das Phänomen Compliance ist längst kein unbekanntes Thema mehr. Es beschäftigt zunehmend die Literatur, Rechtsprechung und Unternehmenspraxis.
Fälschlicherweise wird der Begriff Compliance oftmals lediglich mit Geldwäsche und Korruptionsbekämpfung in Verbindung gebracht. Dies ist natürlich ein wesentlicher Bestandteil, allerdings umfasst der Begriff weitaus mehr als das. Mittlerweile ist Compliance nicht mehr nur an die Einhaltung börsenrechtlicher Vorgaben gekoppelt, sondern berührt ebenso eine Vielzahl anderer Rechtsbereiche. Eine allgemeingültige Definition gibt es im deutschen Rechtssystem jedoch bislang noch nicht. Möchte man den Compliance-Begriff ins Deutsche übersetzen, so bedeutet er sinngemäß Rechtstreue oder Gesetzestreue. Nach heutigem Verständnis ist der Compliance-Begriff allerdings weit auszulegen. Compliance umfasst alle Maßnahmen, Strukturen und Prozesse eines Unternehmens, die der Einhaltung aller relevanten Gesetze und Regelungen dienen. Grundsätzlich ist von einem weiten Begriffsverständnis auszugehen, welches nicht nur gesetzliche Vorschriften, sondern auch weitere Regelungen über die gesetzlichen Standards hinaus berührt.
Compliance geht nicht ohne Datenschutz
Das Datenschutzrecht wird in der Unternehmenspraxis in diesem Kontext oftmals noch stiefmütterlich behandelt, was sehr verwunderlich erscheint. Denn während andere Rechtsgebiete oft überwiegend nur bestimmte Bereiche eines Unternehmens betreffen, ist der Datenschutz im Unternehmensalltag allgegenwärtig. Betroffen hiervon sind nicht nur alle Unternehmensbereiche, sondern auch alle Stakeholder, wie z.B. Kunden, Mitarbeiter, Lieferanten und Dienstleister. Jeder kommt tagtäglich mit dem Datenschutz in Kontakt. Insbesondere deswegen ist auch das damit verbundene Risiko, dass hierbei die entsprechenden Regelungen nicht eingehalten werden, umso höher, wenn nicht die entsprechenden Maßnahmen zur Vermeidung von Verstößen getroffen werden. Eine Datenschutzorganisation innerhalb der Compliance, welche präventive und auch repressive Elemente enthält, ist somit als zwingendes Erfordernis anzusehen. Nicht zuletzt durch das Inkrafttreten der DSGVO und den damit verbundenen erweiterten Verpflichtungen und verschärften Sanktionen sollte dieser Bereich demnach eine besondere Berücksichtigung finden. Eine gut organisierte Datenschutz-Organisation berührt sämtliche Ebenen, während die Verantwortung für sie direkt bei der Geschäftsführung liegt. Bestimmte Prozesse und Strukturen, welche den Datenschutz sicherstellen, müssen daher als elementarer Bestandteil der Compliance im Unternehmen verankert werden. Hierzu zählen unter anderem allgemeine Richtlinien, Verhaltensregelungen, die Festlegung von Verantwortlichkeiten, der Umgang mit Verstößen und natürlich auch andere formale Aspekte, wie z.B. die Benennung eines Datenschutzbeauftragten, die Erstellung von Verfahrensverzeichnissen oder der Abschluss aller datenschutzrechtlich relevanten Verträge. Dabei muss sichergestellt werden, dass datenschutzrechtliche Aspekte in allen Tätigkeitsbereichen, welche mit der Verarbeitung personenbezogener Daten in Berührung kommen, berücksichtigt werden. Dies darf jedoch nicht als einmalige Aufgabe verstanden werden. Da der Unternehmensalltag ständigen Neuerungen und Veränderungen unterworfen ist, bedarf es einer regelmäßigen Analyse und Überprüfung bestehender und neuer Systeme und Prozesse. Eine optimale Datenschutz-Organisation darf dabei jedoch nicht nur den formalen Kriterien entsprechen, sondern muss unternehmensabhängig ausgestaltet werden, damit sie auch in der Praxis effektiv umgesetzt werden kann.
Das Recht auf informationelle Selbstbestimmung
Ein weiterer, wenn auch recht simpler Aspekt verdeutlicht ebenso die Wichtigkeit funktionierender und auf den Datenschutz abgestimmter Strukturen. Ohne das Datenschutzrecht wäre jeder Mensch transparent. Man darf davon ausgehen, dass dies nicht nur im Privatleben unerwünscht ist und unter Umständen unliebsame Folgen mit sich bringen kann, denn auch im Unternehmenskontext steht einem jeden Menschen der verantwortungsbewusste Umgang mit seinen personenbezogenen Daten zu. Dies spiegelt sich auch in der Entstehungsgeschichte des Datenschutzes wider. Denn das Datenschutzrecht entspringt dem allgemeinen Grundsatz, dass es dem Einzelnen obliegt, über die Offenlegung und Verwendung seiner persönlichen Daten zu bestimmen. Mit dem Volkszählungsurteil des BVerfG aus dem Jahr 1983 wurde das Recht auf informationelle Selbstbestimmung kreiert. Dieses ergibt sich aus Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG und setzt die freie Entfaltung der Persönlichkeit unter den modernen Bedingungen der Datenverarbeitung voraus. Aufgabe des Datenschutzrechts ist es demnach, das Recht auf informationelle Selbstbestimmung und somit Grundrechte zu schützen. Auch wenn Grundrechte vom Staat garantierte Rechte gegenüber den Bürgerrinnen und Bürgern sind, Verfassungsrang genießen und somit in erster Linie Abwehrrechte des Bürgers gegenüber dem Staat darstellen, wirken sie sich im Rahmen Drittwirkung auch auf das Verhältnis der Bürgerinnen und Bürger untereinander aus. Der Datenschutz schützt somit eines unserer wichtigsten Rechtsgüter.
Datenschutz auch gegen Imageschäden
Auch die stetig voranschreitende Digitalisierung und die damit verbundene zunehmende Nutzung digitalisierter Verfahren und Technologien in allen Unternehmensbereichen lässt die die Berücksichtigung datenschutzrechtlicher Aspekte als zunehmend wichtiger erscheinen. Der wachsende Datenfluss und die damit einhergehende Komplexität digitalisierter Verfahren erhöht das Risiko eines Datenschutzverstoßes, sofern nicht bereits im Voraus entsprechende Maßnahmen getroffen wurden. Ein Verstoß ist nicht nur mit enormen Haftungsrisiken verbunden, denn auch Imageschäden und Reputationseinbußen können unabsehbare Folgen für ein Unternehmen darstellen. Umso wichtiger ist es, den Datenschutz als elementaren Bestandteil erfolgreicher Unternehmensführung zu verstehen und diesen bei der Implementierung einer Compliance-Organisation hinreichend zu berücksichtigen.
14. August 2020 @ 9:54
Da der DSB laut DSGVO weisungsfrei und unabhängig ist (sein muss), kann ihn weder die Compliance, noch die Revision prüfen.
Allenfalls denkbar wäre eine Prüfung dahingehend, dass der DSB seine Aufgaben (z.B. Beratung, Kontrollen, etc) durchführt.
Art, Inhalt, Umfang und Ergebnisse dürfen dieser Prüfung nicht unterliegen, da Verantwortlicher immer das Unternehmen ist (vgl. z.B. u.a. LAG Mecklenburg-Vorpommern, Urteil vom 25.2.2020 – 5 Sa 108/19 (ArbG Stralsund)
13. August 2020 @ 19:35
Eine interessante Herangehensweise und eine gute Heimat für die Datenschutzorganisation, die ja nicht nur aus dem Datenschutzbeauftragten besteht.
Organisatorisch ist dann für Stelle des DSB schwer abzubilden, er soll an die GF berichten und weisungsfrei sein, Damit kann er nicht dem Compliance Bereich unterstehen, doch sind aber die MA, die Datenschutz umsetzen.
Noch eine Anmerkung: Das Recht auf informationelle Selbstbestimmung ist in Kontext der DSGVO nicht heranzuziehen, sondern die EU Grundrechtecharta.
13. August 2020 @ 13:57
Sehr geehrte Frau Mohnert,
ein sehr interessanter Artikel. Mir stellt sich nur eine Frage. Da es hier ja eine massive Überschneidung der Aufgabengebiete der Compliance und des/der Datenschutzbeauftragten gibt, wie kann/soll/muss man damit umgehen? Wird in Zukunft jede datenschutzrechtliche Frage zweimal geprüft? Was soll ein Unternehmen machen, wenn der/die Datenschutzbeauftragte andere Auffassungen vertreten als die Compliance? Auch die Frage ob die Compliance das Recht und die Pflicht hat den DSB zu prüfen und was passiert wenn es gerade hier unterschiedliche Auffassungen gibt und der DSB die Prüfung verweigert ist eine sehr interessante Frage.